Guide

Authentication

Lerne wie du dich bei der invoice.xhub API authentifizierst und deine API Keys sicher verwaltest.

API Key Typen

Test Key

Sandbox
sk_test_...
  • Kostenlos für Entwicklung
  • Keine echten Rechnungen
  • Vollständige API-Funktionalität

Live Key

Production
sk_live_...
  • Für Production-Umgebung
  • Erstellt echte E-Rechnungen
  • Pay-per-Use Abrechnung

API Key verwenden

Sende deinen API Key im Authorization Header als Bearer Token mit jedem Request:

curl

bash
1curl -X POST https://api.invoice.xhub.io/api/v1/invoice/DE/XRECHNUNG/generate \
2  -H "Authorization: Bearer sk_live_abc123..." \
3  -H "Content-Type: application/json" \
4  -d '{"seller": {...}, "buyer": {...}, ...}'

Node.js

typescript
1const response = await fetch('https://api.invoice.xhub.io/api/v1/invoice/DE/XRECHNUNG/generate', {
2  method: 'POST',
3  headers: {
4    'Authorization': 'Bearer ' + process.env.XHUB_API_KEY,
5    'Content-Type': 'application/json'
6  },
7  body: JSON.stringify(invoiceData)
8});

Wichtig

Sende API Keys niemals im Query-String oder Request-Body. Nutze immer den Authorization Header.

Sicherheits-Best-Practices

Environment Variables nutzen

Speichere API Keys in Umgebungsvariablen, nie im Code.

Nicht committen

Füge .env zu .gitignore hinzu. Nutze Secret Manager in CI/CD.

Keys regelmäßig rotieren

Erstelle neue Keys alle 90 Tage und deaktiviere alte.

Minimale Berechtigungen

Nutze separate Keys für verschiedene Umgebungen.

Beispiel: .env

bash
1# .env
2XHUB_API_KEY=sk_live_abc123...
3 
4# Niemals committen!
5# Füge .env zu .gitignore hinzu

Rate Limits

API Requests sind je nach Plan limitiert. Bei Überschreitung erhältst du einen 429 Too Many Requests Error.

PlanRequests/MinuteBurst Limit
Free100/min10/sec
Starter500/min50/sec
Business2.000/min200/sec
EnterpriseUnlimitedCustom

Rate Limit Headers

Jede Response enthält Header mit deinem aktuellen Limit-Status:

X-RateLimit-Limit: 100
X-RateLimit-Remaining: 95
X-RateLimit-Reset: 1705312800

Key Rotation

1

Neuen Key erstellen

Erstelle einen neuen API Key im Dashboard.

2

Deployment updaten

Ersetze den alten Key in deiner Anwendung.

3

Alten Key löschen

Deaktiviere den alten Key im Dashboard.

Auth-Fehler

401Unauthorized

API Key fehlt oder ist ungültig. Prüfe den Authorization Header.

403Forbidden

API Key hat keine Berechtigung für diese Aktion oder ist deaktiviert.

429Too Many Requests

Rate Limit überschritten. Warte und versuche es erneut.

Weiter geht's

Du hast deinen API Key? Dann erstelle deine erste Rechnung.

Quickstart GuideCreator API